탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: IP 서비스 Oracle Solaris 10 1/13 Information Library (한국어) |
1. Oracle Solaris TCP/IP 프로토콜 제품군(개요)
5. TCP/IP 네트워크 서비스 구성 및 IPv4 주소 지정(작업)
10. TCP/IP 및 IPv4에 대한 자세한 정보(참조)
Oracle Solaris 10 릴리스의 IKE 변경 사항
/etc/inet/ike/config 구성 파일은 IKE 정책 항목을 포함합니다. 두 IKE 데몬이 서로 인증하려면 항목이 유효해야 합니다. 또한 키 입력 자료를 사용할 수 있어야 합니다. 구성 파일의 항목에 따라 키 입력 자료를 사용하여 Phase 1 교환을 인증하는 방법이 결정됩니다. 미리 공유한 키 또는 공개 키 인증서를 선택할 수 있습니다.
auth_method preshared 항목은 미리 공유한 키가 사용됨을 나타냅니다. preshared가 아닌 auth_method의 값은 공개 키 인증서가 사용될지 나타냅니다. 공개 키 인증서를 자체 서명할 수도 있고, PKI 조직에서 인증서를 설치할 수도 있습니다. 자세한 내용은 ike.config(4) 매뉴얼 페이지를 참조하십시오.
미리 공유한 키는 두 개 이상의 피어 시스템을 인증하는 데 사용됩니다. 미리 공유한 키는 한 시스템에서 관리자가 만든 16진수 또는 ASCII 문자열입니다. 그런 다음 대역 외 연결에서 피어 시스템의 관리자와 키를 공유합니다. 악의적 사용자가 미리 공유한 키를 가로채면 피어 시스템 중 하나로 가장할 수 있습니다.
이 인증 방법을 사용하는 피어에서 미리 공유한 키는 동일해야 합니다. 키는 특정 IP 주소와 연결되어 있습니다. 각 시스템의 /etc/inet/secret/ike.preshared 파일에 키가 저장됩니다. ike.preshared 파일은 IKE용이고 ipseckeys 파일은 IPsec용입니다. ike.preshared 파일의 키가 손상되면 모든 전송에 영향을 줍니다. 키는 한 관리자가 통신 시스템을 제어할 때 가장 안전합니다. 자세한 내용은 ike.preshared(4) 매뉴얼 페이지를 참조하십시오.
공개 키 인증서를 사용하면 통신 시스템이 대역 외에서 보안 키 입력 자료를 공유할 필요가 없습니다. 공개 키는 키 인증 및 협상을 위해 Diffie-Hellman 알고리즘(DH)을 사용합니다. 공개 키 인증서는 두 종류로 나뉩니다. 인증서를 자체 서명할 수도 있고, CA(인증 기관)에서 인증서를 공인할 수도 있습니다.
자체 서명된 공개 키 인증서는 관리자 스스로 만듭니다. ikecert certlocal -ks 명령은 시스템의 공개-개인 키 쌍 중 개인 부분을 만듭니다. 그런 다음 원격 시스템에서 X.509 형식의 자체 서명된 인증서 출력을 가져옵니다. 키 쌍의 공개 부분을 위해 원격 시스템의 인증서가 ikecert certdb 명령에 입력됩니다. 자체 서명된 인증서는 통신 시스템의 /etc/inet/ike/publickeys 디렉토리에 상주합니다. -T 옵션을 사용하면 인증서가 연결된 하드웨어에 상주합니다.
자체 서명된 인증서는 미리 공유한 키와 CA 사이의 중간 지점입니다. 미리 공유한 키와 달리, 자체 서명된 인증서는 모바일 시스템이나 번호를 다시 매길 수 있는 시스템에서 사용할 수 있습니다. 고정 번호 없이 시스템에 인증서를 자체 서명하려면 DNS(www.example.org ) 또는 email(root@domain.org) 대체 이름을 사용하십시오.
PKI 또는 CA 조직에서 공개 키를 전달할 수 있습니다. /etc/inet/ike/publickeys 디렉토리에 공개 키와 동반 CA를 설치합니다. -T 옵션을 사용하면 인증서가 연결된 하드웨어에 상주합니다. 또한 공급업체가 CRL(인증서 해지 목록)을 발행합니다. 관리자는 키 및 CA 설치와 함께 /etc/inet/ike/crls 디렉토리에 CRL을 설치할 책임이 있습니다.
CA는 사이트 관리자가 아닌 외부 조직에서 공인된다는 장점이 있습니다. 어떤 의미에서 CA는 공증된 인증서입니다. 자체 서명된 인증서와 마찬가지로, CA는 모바일 시스템이나 번호를 다시 매길 수 있는 시스템에서 사용할 수 있습니다. 자체 서명된 인증서와 달리, CA는 많은 수의 통신 시스템을 보호하도록 매우 쉽게 확장할 수 있습니다.